本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨AWS账户创建备份副本
在管理多个 INAWS 账户 中的资源之前AWS Backup,您的账户必须属于AWS Organizations服务中的同一组织。
使用AWS Backup,您可以按需备份多个AWS 账户,也可以作为定期备份计划的一部分自动备份。如果您希望将备份安全地复制到组织AWS 账户中的一个或多个或多个或多个或多个或多个或多个或多个或多个或多个或多个或多个或多个或多个或多个 如果原始备份被无意中删除,则可以将备份从目标账户复制到其源账户,然后开始还原。在执行此操作之前,您必须在该AWS Organizations服务中拥有两个属于同一组织的账户。有关更多信息,请参阅《Org anizations 用户指南》中的教程:创建和配置组织。
在目标账户中,您必须创建备份保管库。然后,您分配客户管理的密钥来加密目标账户中的备份,并分配基于资源的访问策略AWS Backup以允许访问要复制的资源。在源账户中,如果您的资源使用客户管理的密钥加密,则必须与目标账户共享此客户托管密钥。然后,您可以创建备份计划并选择一个属于您的组织单位的目标帐户AWS Organizations。
大多数AWS Backup支持的资源都支持跨账户备份。有关详细信息,请参阅按资源划分的功能可用性表中的该部分。
大多数AWS区域都支持跨账户备份。有关详细信息,请参阅功能可用性截止日期AWS 区域表中的该部分。
设置跨账户备份
创建跨账户备份需要什么?
-
来源账户
源账户是您的生产AWS资源和主备份所在的账户。
源账户用户启动跨账户备份操作。源账户用户或角色必须具有相应的 API 权限才能启动操作。相应的权限可能是AWS托管策略
AWSBackupFullAccess(允许对AWS Backup操作进行完全访问权限),也可以是允许诸如之类的操作的客户管理策略ec2:ModifySnapshotAttribute。有关策略类型的更多信息,请参阅AWS Backup托管策略。 -
目标账户
目标账户是您想要保存备份副本的账户。您可以选择多个目标账户。目标账户必须与中的源账户位于同一个组织中AWS Organizations。
您必须 “允许” 目标备份库
backup:CopyIntoBackupVault的访问策略。如果没有此政策,将拒绝向目标账户复制的尝试。 -
中的管理账户AWS Organizations
根据定义,管理账户是组织中的主要账户AWS Organizations,用于管理跨账户备份AWS 账户。要使用跨账户备份,还必须启用服务信任。启用服务信任后,您可以使用组织中的任何账户作为目标账户。在目标账户中,您可以选择使用哪些文件库进行跨账户备份。
-
在AWS Backup控制台中启用跨账户备份
有关安全性的信息,请参阅跨账户备份的安全注意事项。
要使用跨账户备份,必须启用跨账户备份功能。然后,您必须 “允许” 访问策略backup:CopyIntoBackupVault进入您的目标备份保管库。
启用跨账户备份
-
AWS使用您的AWS Organizations管理账户凭据登录。只能使用这些凭据启用或禁用跨账户备份。
通过 https://console.aws.amazon.com/backup
打开AWS Backup主机。 -
在 “我的帐户” 中,选择 “设置”。
-
要进行跨账户备份,请选择 “启用”。
-
在 Backup 保管库中,选择您的目标保管库。
-
在 “访问策略” 部分中,“允许”
backup:CopyIntoBackupVault。例如,选择添加权限,然后选择允许从组织访问Backup 保管库。 -
现在,您组织中的任何账户都可以与组织中的任何其他账户共享其备份保管库的内容。有关更多信息,请参阅与其他AWS账户共享备份保管库:要限制哪些账户可以接收其他账户的备份文件库的内容,请参阅将您的账户配置为目标账户。
计划跨账户备份
您可以使用定时备份计划来复制备份AWS 账户。
使用定时备份计划复制备份
通过 https://console.aws.amazon.com/backup
打开AWS Backup主机。 -
在 “我的帐户” 中,选择 “Backup 计划”,然后选择 “创建Backup 计划”。
-
在 “创建Backup 计划” 页面上,选择 “生成新计划”。
-
对于 Backup 计划名称,输入备份计划的名称。
-
在 Backup 规则配置部分中,添加定义备份计划、备份窗口和生命周期规则的备份规则。您可以稍后添加更多备份规则。
对于 Rume(规则名称),请为规则输入名称。
-
在 “频率” 下的 “时间表” 部分中,选择您希望备份的频率。
-
对于 “Backup” 窗口,选择 “使用备份窗口默认值(推荐)”。您可以自定义备份窗口。
-
对于 Backup 保管库,从列表中选择一个保管库。此备份的恢复点将保存在此保管库中。您还可以创建新的备份文件库。
-
在 “生成副本-可选” 部分中,输入以下值:
- 目标区域
-
选择备份副本AWS 区域的目的地。您的备份将复制到该区域。对于每个副本,您可以将新的复制规则添加到新的目标。
- 复制到另一个账户的保管库
-
切换选择此选项。选择后,该选项变为蓝色。将出现 “外部保管库 ARN” 选项。
- 外部文件ARN
-
输入目标账户的 Amazon 资源名称(ARN)。ARN 是一个包含账户 ID 及其的字符串AWS 区域。 AWS Backup会将备份复制到目标账户的保管库。目标区域列表会自动更新为外部文件库 ARN 中的区域。
对于 “允许访问Backup 保管库”,选择 “允许”。然后在打开的向导中选择 “允许”。
AWS Backup需要访问外部帐户的权限才能将备份复制到指定值。该向导显示了以下提供此访问权限的示例策略。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] } - 过渡到冷存储
-
选择将备份副本转换到冷存储的时间以及副本的到期(删除)时间。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。
要查看可以过渡到冷存储的资源列表,请参阅按资源划分的功能可用性表中的 “冷库生命周期” 部分。其他资源的冷存储表达式将被忽略。
过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。
注意 当备份过期并作为生命周期策略的一部分标记为AWS Backup删除时,将在接下来的 8 小时内在随机选择的时间点删除备份。此窗口有助于确保稳定的性能。
-
选择 “添加到恢复点的标签” 以向恢复点添加标签。
-
对于高级备份设置,选择 Windows VSS 为在 EC2 上运行的选定第三方软件启用应用程序感知快照。
-
选择 “创建计划”。
按需执行跨账户备份
您可以按需将备份复制到其他AWS 账户备份。
按需复制备份
通过 https://console.aws.amazon.com/backup
打开AWS Backup主机。 -
对于我的账户,选择 Backup Vault 以查看列出的所有备份文件库。您可以按备份库名称或标签进行筛选。
-
选择要复制的备份的恢复点 ID。
-
选择 Copy(复制)。
-
展开 Backup 详细信息以查看有关您正在复制的恢复点的信息。
-
在复制配置部分中,从目标区域列表中选择一个选项。
-
选择 “复制到另一个账户的保管库”。选择后,该选项变为蓝色。
-
输入目标账户的 Amazon 资源名称(ARN)。ARN 是一个包含账户 ID 及其的字符串AWS 区域。 AWS Backup会将备份复制到目标账户的保管库。目标区域列表会自动更新为外部文件库 ARN 中的区域。
-
对于 “允许访问Backup 保管库”,选择 “允许”。然后在打开的向导中选择 “允许”。
要创建副本,AWS Backup需要访问源账户的权限。该向导显示了提供此访问权限的示例策略。此政策如下所示。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow account to copy into backup vault", "Effect": "Allow", "Action": "backup:CopyIntoBackupVault", "Resource": "*", "Principal": { "AWS": "arn:aws:iam::account-id:root" } } ] } -
对于过渡到冷存储,选择何时将备份副本过渡到冷存储以及何时过期(删除)副本。转换到冷存储的备份必须在冷存储中存储至少 90 天。在副本转换为冷存储后,无法更改此值。
要查看可以过渡到冷存储的资源列表,请参阅按资源划分的功能可用性表中的 “冷库生命周期” 部分。其他资源的冷存储表达式将被忽略。
过期指定副本在创建后多少天删除。此值必须比转换为冷存储值多 90 天。
-
对于 I AM 角色,指定有权复制您的备份的 IAM 角色(例如默认角色)。复制操作由您的目标账户的服务关联角色执行。
-
选择 Copy(复制)。根据要复制的资源的大小,此过程可能需要几个小时才能完成。拷贝作业完成后,您将在 “作业” 菜单的 “拷贝作业” 选项卡中看到副本。
跨账户备份密钥的说明
AWS托管密钥不支持跨账户复制。AWS托管密钥的密钥策略是不可变的,这可以防止跨账户复制密钥。如果您的资源使用AWS托管密钥加密,并且您想要执行跨账户复制,则可以将加密密钥更改为客户管理的密钥
将备份从一个恢复AWS 账户到另一个备份
AWS Backup不支持将资源从一个恢复AWS 账户到另一个。但是,您可以将备份从一个帐户复制到另一个帐户,然后在该帐户中将其恢复。例如,您无法将备份从账户 A 还原到账户 B,但可以将备份从账户 A 复制到账户 B,然后在账户 B 中恢复备份。
将备份从一个帐户还原到另一个帐户是一个两步过程。
将备份从一个账户恢复到另一个账户
-
将备份从源复制AWS 账户到要还原到的帐户。有关说明,请参阅设置跨账户备份。
-
按照相应的资源说明恢复备份。
与其他AWS账户共享备份保管库
AWS Backup允许您与一个或多个帐户或整个组织共享备份保管库AWS Organizations。您可以与源AWS账户、用户或 IAM 角色共享目标备份库。
共享目标Backup 保管库
-
选择 AWS Backup,然后选择 “Backup 保管库”。
-
选择要共享的备份文件库的名称。
-
在访问策略窗格中,选择添加权限下拉列表。
-
选择 “允许以账户级别访问Backup 保管库”。或者,您可以选择允许组织级别或角色级别的访问权限。
-
输入您要与该目标备份库共享的账户的 acAc countID。
-
选择 “保存策略”。
您可以使用 IAM 策略共享您的备份保管库。
与AWS 账户或 IAM 角色共享目标备份保管库
以下策略共享一个包含账户号4444555566666和账户号中的 IAM 角色SomeRole的备份保管库111122223333。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":[ "arn:aws:iam::444455556666:root", "arn:aws:iam::111122223333:role/SomeRole" ] }, "Action":"backup:CopyIntoBackupVault", "Resource":"*" } ] }
与组织单位共享目标备份保管库AWS Organizations
以下策略使用其与组织单位共享备份保管库PrincipalOrgPaths。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "ForAnyValue:StringLike":{ "aws:PrincipalOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }
与中的组织共享目标备份保管库AWS Organizations
以下策略与PrincipalOrgID “o-a1b1b2c3d4e5” 共享一个备份保管库。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":"*", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":[ "o-a1b2c3d4e5" ] } } } ] }
将您的账户配置为目标账户
当您首次使用AWS Organizations管理账户启用跨账户备份时,成员账户的任何用户都可以将其账户配置为目标账户。我们建议在中设置以下一项或多个服务控制策略,AWS Organizations以限制您的目标账户。要了解有关将服务控制策略附加到AWS Organizations节点的更多信息,请参阅附加和分离服务控制策略。
使用标签限制目标账户
当连接到AWS Organizations根账户、OU 账户或个人账户时,该策略将目标从该根账户、OU 账户或账户复制到仅限那些带有您标记的备份文件库的账户DestinationBackupVault。权限"backup:CopyIntoBackupVault"控制备份库的行为方式,在这种情况下,控制哪些目标备份文件库有效。使用此策略以及应用于已批准的目标文件库的相应标签,控制跨账户副本的目的地,仅发送到已批准的账户和备份文件库。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyIntoBackupVault", "Resource":"*", "Condition":{ "Null":{ "aws:ResourceTag/DestinationBackupVault":"true" } } } ] }
使用账户号和保管库名称限制目标账户
当连接到AWS Organizations根账户、OU 账户或个人账户时,此政策限制来自该根账户、OU 账户或账户的副本仅限于两个目标账户。该权限"backup:CopyFromBackupVault"控制备份库中恢复点的行为,在本例中还控制您可以将该恢复点复制到的目的地。只有当一个或多个目标备份文件库名称以开头时,源保管库才允许复制到第一个目标账户 (112233445566)cab-。只有当目标是名为的单个备份存储库时,源文件库才允许复制到第二个目标账户 (123456789012)fort-knox。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"arn:aws:ec2:*:snapshot/*", "Condition":{ "ForAllValues:ArnNotLike":{ "backup:CopyTargets":[ "arn:aws:backup:*:112233445566:backup-vault:cab-*", "arn:aws:backup:us-west-1:123456789012:backup-vault:fort-knox" ] } } } ] }
使用中的组织单位限制目标帐户AWS Organizations
当连接到包含您的源账户的AWS Organizations根账户或 OU 时,或者连接到您的源账户时,以下策略将目标账户限制为两个指定 OU 中的那些账户。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Deny", "Action":"backup:CopyFromBackupVault", "Resource":"*", "Condition":{ "ForAllValues:StringNotLike":{ "backup:CopyTargetOrgPaths":[ "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/", "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/ou-jkl0-awsddddd/*" ] } } } ] }
跨账户备份的安全注意事项
在使用以下方法执行跨账户备份时,请注意以下事项AWS Backup:
-
目标保管库不能是默认保管库。这是因为默认保管库使用无法与其他账户共享的密钥加密。
-
禁用跨账户备份后,跨账户备份可能仍会运行长达 15 分钟。这是由于最终的一致性所致,即使您禁用了跨账户备份,也可能导致某些跨账户任务开始或完成。
-
如果目标账户稍后离开组织,则该账户将保留备份。为避免潜在的数据泄露,请在附加到目标账户的服务控制策略 (SCP) 中对该权限设置拒绝
organizations:LeaveOrganization权限。有关 SCP 的详细信息,请参阅《Or ganizations 用户指南》中的从组织中删除成员账户。 -
如果您在跨账户复制期间删除了拷贝任务角色,则在拷贝任务完成后AWS Backup无法取消与源账户的快照共享。在这种情况下,备份作业完成,但复制作业状态显示为 “
无法取消共享快照”。
